DICOMo se hackea: el estándar de los hospitales

¿Alguna vez has pensado que las radiografías eran simples imágenes en JPG? ¿Recuerdas haber escuchado el nombre de DICOM? En este artículo esperamos resolver todas tus dudas sobre el protocolo de envío de imágenes médicas y mostrarte sus implicaciones en la ciberseguridad.

Introducción rápida a DICOM

Figura 1. Logo de DICOM

Las imágenes médicas que se transmiten dentro de los hospitales, como radiografías o ecografías, no están en los formatos comunes de imagen, sino que están en formato DICOM (Digital Imaging and Communications in Medicine), sin embargo, sí que se pueden convertir a JPG o PNG.

Aunque a primera vista solo parezca un simple formato de imagen, DICOM es mucho más, es el estándar de transmisión, almacenamiento, recuperación, impresión, procesado y visualización de imágenes médicas y su información. Gracias a la implementación de este estándar, se revolucionó la tecnología en el ámbito sanitario, sustituyendo las radiografías físicas por radiografías digitales con todos los datos que estas implican. Hoy en día, DICOM está reconocido como el estándar ISO 12052.

[Read more…]

Las 5 claves de un Plan de Seguridad del Operador para un servicio de salud

(Esta entrada ha sido elaborada por Juan Carlos Muria y Samuel Segarra.)

Y finalmente llegó: El Plan Estratégico Sectorial (PES) para el sector de la salud fue publicado a finales de octubre, y ahora llega el momento, para los operadores elegidos, de redactar el Plan de Seguridad del Operador (PSO) en menos de seis meses, sin olvidar que a continuación sólo habrá cuatro meses para detallar los Planes de Protección Específicos (PPE) para cada una de las infraestructuras críticas, y finalmente los Planes de Apoyo Operativo (PAO).

Esto es lo mínimo requerido por el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC), como respuesta a las reuniones mantenidas y los correos intercambiados con los distintos operadores.

La estructura de estos planes viene definida por el propio CNPIC, con lo que hemos preferido poner el foco en las cosas que un operador del ámbito sanitario debe tener en cuenta, y ya que estamos en un blog y el contenido debe ser breve y concreto, hemos decidido destacar las 5 cosas más importantes, las que no deben faltar en un PSO ¿Comenzamos?
[Read more…]

Guías Safer

Como ya sabéis Wannacry también hizo sus estragos en el Sistema Nacional de Salud de Reino Unido afectando a cerca de 25 hospitales y centros médicos. Las noticias hablan de que se paralizaron los sistemas y que en algunos casos se tuvo que desviar pacientes a otros hospitales.

En mi opinión, las organizaciones pertenecientes al sector sanitario deberían estar mínimamente preparadas para poder hacer frente a un ataque de este tipo y conseguir que la afectación fuese la menor posible.

Si hacemos un análisis diferencial de la organización con respecto a un estándar, mejores prácticas, etc., podremos tener una visión de cuáles son los puntos más débiles de la organización y sobre los que tendremos que actuar de manera inmediata. En el caso de los entornos sanitarios las referencias más conocidas son la HIPAA y la ISO 27799.
[Read more…]